En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Développement d'une base de données pour une association
    A déterminer €
    > En savoir plus
  • Création d'un site vitrine pour un centre de beauté
    A déterminer €
    > En savoir plus
  • Styliste/Modéliste pour la création de croquis de prêt-à-porter féminin
    A déterminer €
    > En savoir plus
BlueMind_Nouvelle version_leaderboard animée

Cyberattaque Petya : MEDoc transporteur involontaire du ransomware

GlobalK_Azure _pave

Alors que Doctor Web délivre son rapport détaillé sur les malwares du mois de juin 2017, il revient plus précisément sur le ransomware qui a fait parler de lui au mois de juin. Pour lui, c’est bien l’outil de comptabilité fiscale populaire en Ukraine M.E.Doc qui est le source de propagation de l’attaque. Mais sans fonctionnalité malveillante, il aurait été infecté par des pirates.

Petya, NotPetya, Petya.A, ExPetya et WannaCry-2; Trojan.Encoder 12544… : pour les analystes de Doctor Web, rejoignant en cela d’autres experts, le ver-ransomware qui a marqué le mois de juin a été initialement conçu, non pour obtenir une rançon, mais pour endommager les ordinateurs infectés. « En effet, les auteurs de virus ont utilisé une seule boîte aux lettres qui a été bloquée peu de temps après le début de l’épidémie. De plus, la clé affichée à l’écran de l’ordinateur contaminé représente un jeu de caractères aléatoire et n’a rien à voir avec la clé de chiffrement réelle. Enfin, la clé transmise aux attaquants n’a rien à voir avec la clé utilisée pour chiffrer la table d’allocation des fichiers, donc les auteurs de virus ne sont pas en mesure de fournir à leur victime une clé de déchiffrement du disque. », précise-t-il.

Le logiciel MEDoc bien impliqué

La source initiale de propagation du Trojan est bien, pour lui, le système de mises à jour du logiciel MEDoc, cet outil de comptabilité fiscale très populaire en Ukraine, utilisé par presque 80 % des sociétés là-bas et 400 000 clients qui s’en servent pour échanger des documents et s’envoyer des messages entre départements. « Suite à une analyse approfondie, il apparaît qu’un un enregistrement correspondant à la clé caractéristique du registre Windows : HKCU\SOFTWARE\WC réside dans un des modules du système de mise à jour de M.E.Doc nommé ZvitPublishedObjects.Server.MeCom. Les chercheurs ont prêté attention à cette clé de Registre en raison du fait que le même chemin est utilisé par le ransomware Trojan.Encoder.12703 . L’analyse des logs Dr.Web sur l’ordinateur d’un des clients de l’éditeur anti-virus a montré que le ransomware Trojan.Encoder.12703 a été lancé par l’application ProgramData\Medoc\Medoc\ezvit.exe, qui est un composant du programme M.E.Doc. Le fichier ZvitPublishedObjects.dll demandé depuis la machine contaminée avait le même hachage que l’échantillon examiné au Laboratoire de Doctor Web. » Ce qui a amené les analystes a en conclure que le module de mise à jour du programme M.E.Doc, réalisé sous forme de la bibliothèque dynamique ZvitPublishedObjects.dll, comprend un backdoor.

Quelles sont les possibilités de ce backdoor ?

La collecte de données pour l’accès aux serveurs de messagerie

L’exécution de n’importe quelles commandes dans l’OS contaminé

Le téléchargement sur l’ordinateur contaminé de fichiers particuliers

Le téléchargement et le lancement de n’importe quels fichiers exécutables

Il peut uploader des fichiers vers un serveur distant

fragment code Petya

Le fragment suivant du code du module de mise à jour M.E.Doc semble très intéressant, car il permet de lancer une charge dite utile à l’aide de l’utilitaire rundll32.exe accompagné du paramètre #1

 

Alors que les développeurs du programme MEDoc ont affirmé que leur application ne contenait pas de fonctionnalités malveillantes, et en prenant en compte les résultats de l’analyse statique du code, les analystes de Doctor Web en conclu que des pirates non identifiés avaient infecté un des composants MEDoc.

.


 

 

 

 

 

Auteur : Juliette Paoli

Cyberattaque Petya : MEDoc transporteur involontaire du ransomware
Notez cet article

Laisser un commentaire

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Piratage de données : action en nom collectif au Canada contre Equifax

    Une action en nom collectif (class action) a été lancée mardi au Canada afin d'obtenir…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert - Pour un « manifeste de l’automatisation »

    L'automatisation a le pouvoir de transformer la société, de révolutionner la façon dont les entreprises…

    > En savoir plus...
Etudes/Enquêtes
  • Pays connectés : la France en 15e position dans le monde, c'est mieux qu'en 2016

    La France au 15e rang mondial des pays connectés aux technologies de l'information et de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Azure _Skycraper
Agenda
livres blancs
Les Livres
Blancs
elo_processus pointe_skyscraper